Cookie de sessão

The session cookie is stored in temporary memory and is not retained after the browser is closed. Session cookies do not collect information from the user s computer. They typically will store information in the form of a session identification that does not personally identify the user. Compare with persistent cookie. Um cookie armazenado no cliente contendo a id da sesso; Este cookie lido sempre que a funo session_start() chamada; (caso o cookie no exista, criado) O cookie expira quando o navegador fechado. Cookies can, and do, store all sorts of interesting tidbits about you, your applications, and the sites you visit. The term 'cookie' is derived from 'magic cookie,' a well-known concept in UNIX computing that inspired both the idea and the name. Cookies are created and shared between the browser and the server via the HTTP Header, Cookie. Cookie de sessão. Os cookies de sessão são temporários e excluídos do seu dispositivo quando o navegador de Internet é fechado. Utilizamos cookies de sessão para nos ajudar a rastrear o uso da Internet conforme descrito acima. Você pode recusar a aceitação de cookies de navegador ativando a devida configuração no seu navegador. L'exemple le plus commun de cette fonctionnalité est l'option de panier d'achat de n'importe quel site d'e-commerce. Lorsque vous visitez une page d'un catalogue et que vous sélectionnez des articles, le cookie de session se souvient de votre sélection afin que votre panier contienne les articles que vous avez sélectionnés lorsque vous ... Tipos de Cookie. Há dois tipos diferentes de Cookie - Cookie da sessão e Cookie persistentes. Se um cookie não apresentar uma data de validade, ele é um cookie de sessão. Os cookies de sessão são armazenados na memória e não são gravados no disco. Quando o navegador se fecha, o Cookie está perdido permanentemente a partir daqui. Um cookie de sessão possibilita a reautenticação de um cliente apenas ao servidor no qual esse cliente se autenticou dentro de um curto período de tempo (cerca de dez minutos). O mecanismo tem como base um 'cookie de sessão' que não pode ser transmitido a nenhuma máquina diferente da que gerou esse cookie. Un cookie de session est un cookie dont la durée de vie est limitée à une session de navigation. Il est surtout utilisé pour la gestion des paniers d'achat sur les sites marchands. Voir également définition cookie.

Programadores brazucas: vocês têm utilizado a metodologia Twelve-Factor?

2018.07.27 02:44 3x35r22m4u Programadores brazucas: vocês têm utilizado a metodologia Twelve-Factor?

Confesso. Sou das antigas. No meu tempo, a gente fazia script em shell que lia as variáveis de ambiente passadas pelo cgi-bin. Perl com o modulo CGI deixou as coisas mais fáces. PHP 3 foi um grande avanço, mas não havia controle de sessão nativo. Você mesmo que tinha gerar um cookie e guardar os dados em uma tabela no mySQL. MVC? Nope.
Comecei a ler sobre programação web moderna. Li sobre node.js, python, intermináveis frameworks.
Mas aí tropecei num link muito interessante: https://12factor.net/
Vocês já tem usado essa metologia? Os containers do AWS são compatíveis com ela?
submitted by 3x35r22m4u to brasil [link] [comments]


2017.11.27 21:41 asantos3 Campanha contra o Nónio

Em Março foi colocado aqui no portugal sobre os problemas da plataforma Nónio - [ver tópico]
Para quem não está ocorrente, 6 grupos de comunicação social aliaram-se e criaram uma plataforma com login único, Nónio, para "oferecer conteúdos mais personalizados com mais segurança e qualidade". Para que tal possa acontecer, os websites aderentes necessitam de recolher e armazenar um vasto número de dados de cada leitor. Neste período de transição, os websites aderentes estão a pedir a cada leitor para se registar nesta plataforma para começar a coleta de dados.
Ao fazer o registo, a plataforma nónio terá acesso a um conjunto enorme de dados pessoais. O registo pode ser feito usando credenciais de serviços externos ou o usual email. Caso escolha a opção rede social, terá de partilhar os seguintes dados: nome, fotografia de perfil, endereço de e-mail, data de nascimento e local, ou caso escolha opção e-mail, terá de enviar o seu nome, sexo e data de nascimento. O processo de adesão é muito simples porque a plataforma precisa de num curto espaço de tempo ter um grande número de leitores para que em inícios de 2018 tenha força suficiente para terminar o período de transição e obrigar a todos a aderir ao sistema, como está planeado. Ou seja, num futuro próximo, caso o Nónio seja bem sucedido, só poderá ler artigos depois de efetuado o registo.
O leitor NÃO DEVE registar-se no Nónio, por dois grandes motivos: 1) violação de privacidade e 2) efeito "filtros-bolha".

Violação de privacidade

Uma leitura da política de privacidade do Nónio revela que esta plataforma viola a sua privacidade porque recolhe através de cookies ou outras técnicas de fingerprinting os seguintes dados: o seu endereço IP de cada sessão, data e hora de acesso ao artigo, versão do navegador web e sistema operativo utilizado, resolução de ecrã, dados referentes à localização, pontos de acesso Wifi, assinatura canvas (que o website Nónio utiliza), entre outros. Atualmente é possível unificar essas assinaturas/fingerprints, mesmo utilizadando navegadores web diferentes em diferentes plataformas. Deixo aqui uma demo com os alguns dados que são possíveis obter.
A plataforma irá coletar e armazenar todos os artigos que leu dos websites aderentes. Segundo declarado na página oficial:
"Usar a internet e os seus serviços, implica, necessariamente, a transmissão de informação a nível internacional. Assim, ao relacionar-se connosco e ao consentir a comunicação de dados a terceiros, está a reconhecer que sabe e a consentir no tratamento de dados nesta escala" 
Ou seja, todos estes dados podem ser acedidos por terceiros. Mesmo que o leitor deseje eliminar os seus dados, estes apenas serão apagados ou anonimizados um ano após a desativação do registo pelo utilizador. No mundo do Big Data, não existem dados anonimizados, ler artigo onde são dados exemplos de de-anonimização de base de dados.
A partir da análise desses dados é possível inferir por exemplo: afiliação política, religião, poder de compra, estado emocional, padrões de sono. Para mais detalhes, recomendo consultar o seguinte relatório Corporate surveilance e o working paper How Companies Use Personal Data Against People.
Relembro que estes websites já violam a privacidade ao disponibilizar trackers de outras companhias como o Facebook, Google e alguns data Brokers como a BlueKai,DataLogix,etc...). Visitando alguns do websites aderentes com um navegador Firefox e apenas com a extensão UBlock Scope, foram registados os seguintes resultados. Para validar os resultados foram utilizadas as ferramentas Webbkoll e PrivacyScore.
Website Pedidos a terceiros(*) Cookies primárias Cookies de terceiros
publico.pt 105/39 28 22
expresso.sapo.pt 177/40 15 30
rr.sapo.pt 50/25 20 18
blitz.pt 129/40 14 28
visao.pt 383/39 14 28
expressoemprego.pt 78/18 8 14
exameinformatica.pt 102/35 14 28
cmjornal.pt 227/79 29 74
record.pt 288/106 29 130
jornaldenegocios.pt 210/78 19 90
sabado.pt 206/71 20 64
tsf.pt 199/73 29 52
jn.pt 251/85 27 56
dn.pt 202/71 26 47
ojogo.pt 313/92 32 71
dinheirovivo.pt 164/69 22 53
radiocomercial.iol.pt 67/28 8 8
maisfutebol.iol.pt 136/43 11 14
(*) Total número de pedidos a domínios externos/número de domínios únicos
Para mitigar o web tracking instala no teu navegor web a extensão uBlock Origin (e o uMatrix para utilizadores avançados), com fim a bloquear o acesso e execução desses trackers. Adiciona esta lista de regras para anular o tracking dos websites aderentes, para o formato uBlock Orgin/uMatrix e para o Pi-hole/Dnsmasq .

Efeito "filtros-bolha"/echo chamber

Recolhemos informações sobre si com o seu consentimento explícito para lhe podermos prestar um serviço personalizado na apresentação de notícias consoante as suas preferências, o que constitui o núcleo dos nossos serviços.
Quanto mais o leitor interagir com esta plataforma, mais dados esta recebe sobre si, e por conseguinte, terá um perfil de gostos de leitura cada vez mais detalhado. Como o objetivo/modelo de negócio da plataforma é que esteja o maior tempo possível na plataforma, mais tempo de exposição há publicidade, serão recomendardos cada vez mais e mais direcionados apenas artigos de um certo ponto de vista. O leitor com o desenrolar do tempo ficará dentro de uma "echo chamber". Não é exposto a informação contrária às suas preferências que poderia desafiar ou ampliar a sua visão do mundo. Este fenómeno é designado por Eli Pariser de "filtros-bolha". É recomendado a visualização da sua Ted Talk Eli Pariser: Tenha cuidado com os "filtros-bolha" online

Efeitos secundários

Além dos dois problemas referidos, outros problemas não menos importantes devem ser explicados. A partir da análise desses dados, é possível inferir os gostos da população portuguesa, e com fim a maximizar os lucros, mais artigos de baixo teor jornalísticos (artigos clickbait geram mais tráfego/receita) serão escritos, levando à decadência desta nobre profissão. Por consequência, uma população com menos acesso à informação de qualidade, não toma decisões corretas, levando à decadência gradual de regimes democráticos.
Em resumo e como refere Zeynep Tufekci na seu recente Ted Talk, Estamos a criar uma distopia só para fazer as pessoas clicarem em anúncios
Lista de website aderentes por cada grupo:

O que muda

Com efeitos imediatos irá ser colocado em todos os futuros tópicos provenientes de websites aderentes a esta plataforma um comentário a alertar os utilizadores sobre esta plataforma.
No entanto gostaríamos de saber a vossa opinião sobre o assunto e sugestões para mitigar o uso destas plataformas sem o conhecimento prévio do utilizador.
submitted by asantos3 to portugal [link] [comments]


2014.12.22 14:53 virtxtech Segurança na internet – Os 10 Riscos mais críticos

Segundo a OWASP (Open Web Application Security Project), uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis, preocupada com a segurança da informação, listou os 10 riscos de segurança na internet mais críticos em aplicações web:
A1 – Injeção de código: As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados.
Falha de Segurança Injeção de SQL, LDAP
Ilustração: Injeção de SQL
A2 – Quebra de autenticação e Gerenciamento de Sessão: As funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.
a2
A3 – Cross-Site Scripting (XSS): Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.
a3
A4 – Referência Insegura e Direta a Objetos: Uma referência insegura e direta a um objeto ocorre quando um programador expõe uma referência à implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não-autorizados.
a4
A5 – Configuração Incorreta de Segurança: Uma boa segurança exige a definição de uma configuração segura e implementada na aplicação, frameworks, servidor de aplicação, servidor web, banco de dados e plataforma. Todas essas configurações devem ser definidas, implementadas e mantidas, já que geralmente a configuração padrão é insegura. Adicionalmente, o software deve ser mantido atualizado.
a5
A6 – Exposição de Dados Sensíveis: Muitas aplicações web não protegem devidamente os dados sensíveis, tais como cartões de crédito, IDs fiscais e credenciais de autenticação. Os atacantes podem roubar ou modificar esses dados desprotegidos com o propósito de realizar fraudes de cartões de crédito, roubo de identidade, ou outros crimes. Os dados sensíveis merecem proteção extra como criptografia no armazenamento ou em trânsito, bem como precauções especiais quando trafegadas pelo navegador.
a6
A7 – Falta de Função para Controle do Nível de Acesso: A maioria das aplicações web verificam os direitos de acesso em nível de função antes de tornar essa funcionalidade visível na interface do usuário. No entanto, as aplicações precisam executar as mesmas verificações de controle de acesso no servidor quando cada função é invocada. Se estas requisições não forem verificadas, os atacantes serão capazes de forjar as requisições, com o propósito de acessar a funcionalidade sem autorização adequada.
a7
A8 – Cross-Site Request Forgery (CSRF): Um ataque CSRF força a vítima que possui uma sessão ativa em um navegador a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima.
a8
A9 – Utilização de Componentes Vulneráveis Conhecidos: Componentes, tais como bibliotecas, frameworks, e outros módulos de software quase sempre são executados com privilégios elevados. Se um componente vulnerável é explorado, um ataque pode causar sérias perdas de dados ou o comprometimento do servidor. As aplicações que utilizam componentes com vulnerabilidades conhecidas podem minar as suas defesas e permitir uma gama de possíveis ataques e impactos, afetando a segurança na internet.
a9
A10 – Redirecionamentos e Encaminhamentos Inválidos: Aplicações web frequentemente redirecionam e encaminham usuários para outras páginas e sites, e usam dados não confiáveis para determinar as páginas de destino. Sem uma validação adequada, os atacantes podem redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não autorizadas.
a10
Portanto, com esses conhecimentos, combatendo cada um dos riscos, é possível garantir um mínimo de segurança na internet.
submitted by virtxtech to certifications [link] [comments]


My Grandma ! Roblox Obby Let's Play Video Games with ... Cookie connecté - YouTube Sessão Pipoca & Eurekids Cookies - TARDIS de ... Filipe Ret “SESSÃO DO DESCARREGO” 🔥 pt. Dfideliz (pd ... Chocolate chip cookies - YouTube A look at cookies - YouTube Session Hijacking Basico (Robo de Cookies) - YouTube Servlet Java Tutorial Part 8 How to use Cookie for session ...

Cookies, Sessions, and Persistence

  1. My Grandma ! Roblox Obby Let's Play Video Games with ...
  2. Cookie connecté - YouTube
  3. Sessão Pipoca & Eurekids Cookies - TARDIS de ...
  4. Filipe Ret “SESSÃO DO DESCARREGO” 🔥 pt. Dfideliz (pd ...
  5. Chocolate chip cookies - YouTube
  6. A look at cookies - YouTube
  7. Session Hijacking Basico (Robo de Cookies) - YouTube
  8. Servlet Java Tutorial Part 8 How to use Cookie for session ...
  9. Expirando sessão do usuário logado em PHP - Parte 1

INGREDIENTS:- Butter (softened) 115g Sugar 50g Brown sugar 120g vanilla bean pod or vanilla extract 1tsp one large egg (at room temperature) All-purpose flou... Learn about cookies and how they help make websites more useful To learn more about how to stay safe online visit Google's Good to Know website www.google.co... Clase de Hijacking Basico aprovechando una vulnerabilidad XSS Link: http://pastebin.com/78pubwsR Nesta vídeo aula você aprenderá como expirar a sessão do usuário logado por tempo. ... [Formulário de contato 05 de 06] Evitando o roubo de sessão no PHP - Duration: 2:42. Em parceria com a Startup Eurekando, o Serial Cookies cria revistas educativas tipo e-book que passeia pelo universo dos filmes, lúdico e cultural. Um bom re... Mon défi avec cette chaîne est de vous expliquer un sujet informatique complexe en moins de 10 minutes. L'architecture technique, l'infrastructure et les nou... OUÇA “SESSÃO DO DESCARREGO” NAS PLATAFORMAS: https://SomLivre.lnk.to/Sessao_do_Descarrego SIGA FILIPE RET: SITE: https://filiperet.com INSTAGRAM: @filiperet ... I'm going to my grandma's house today! Ahh where is my grandma? I have to do the obstacle course in her house to find her! I hope you enjoy this Roblox obby!... Servlet and JSP complete playlist : https://goo.gl/JXo6BB Session management Check out our website: http://www.telusko.com Follow Telusko on Twitter: https:/...